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Die folgenden Angaben sind dan vom Anmelder eingereichten Unterlagen entnommen 

Prufungsantrag gem. § 44 PatG ist gestellt 

(w) Verfahren zum Schutz eines Mikrorechners und geschutzter Mikrorechner 

(57) Es wird ein Verfahren zum Schutz eines Mikrorechners 
gegen Manipulation seines Programms bzw. ein derart 
geschutzter Mikrorechner vorgeschlagen. Der Mikrorech- 
ner (1) weist einen Rechnerkern (2) einen nur Lesespei- 
cher (3) und einen wiederbeschreibbaren Speicher {5) auf. 
Im nur Lesespeicher (3) ist ein Oberprufungsprogramm 
gespeichert, das mittels eines Schlussels aus dem Spei- 
cherinhalt des wiederbeschreibbaren Speichers (5) ein 
Codewort bildet. Das Codewort wird dann mit einem Ver- 
gleichscodewort verglichen, das ebenfalls im wiederbe- 
schreibbaren Speicher (5) abgelegt ist. In Abhangigkeit 
von diesem Vergleich wird der Mikrorechner gesperrt 
oder freigegeben. 
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Beschreibung 



Beschreibung 



Stand der Technik 

Die Erfindung geht aus von einem Verfahren zum Schutz 
eines Mikrorechners bzw. einem geschiitzten Mikrorechner 
nach der Gattung der unabhangigen Paten tanspriiche. Es 
sind bereits Verfahren zum Schutz von Mikrorechner und 
geschutzte Mikrorechner bekannt, die einen nur Lesespei- 
cher und einen wiederbeschreibbaren Speicher aufsveisen. 
Dabei wird im wiederbeschreibbaren Speicher ein Pro- 
gramm gespeichert. Um dieses Programm vor einer uner- 
laubten Manipulation zu schiitzen, werden die Befehle des 
Mikrorechners, die sich auf eine Veranderung des Speicher- 
inhaltes richten, besonders geschiitzt. Derartige Befehle 
werden nur dann von dem Mikrorechner ausgefuhrt, wenn 
zuvor eine Zugriffsberechtigung durch ein PaBwort verifi- 
ziert wurde. Weiterhin ist es bekannt den Speicherinhalt ei- 
nes wiederbeschreibbaren Speichers dadurch zu schiitzen, 
daB an mehreren Stellen im Speicher Checksummen iiber ei- 
nen gewissen Speicherbereich abgelegt sind. Bei der Aus- 
fuhrung des Programms werden dann diese Checksummen 
mit dem Inhalt der Speicherbereiche verglichen, so daB eine 
teilweise Veranderung des Speicherinhalts nur dann erfolg- 
reich ist, wenn gleichzeitig auch die Checksummen veran- 
dert werden. 

Wenn jedoch die Speicherplatze auf denen die Check- 
summen abgelegt werden bekannt sind, kann eine Manipu- 
lation des Speicherinhalts nicht verhindert werden. 
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Vorteile der Erfindung 



Zeichnungen 

Ausfiihrungsbeispiele der Erfindung sind in den Zeich- 
nungen dargestellt und in der nachfolgenden Beschreibung 
naher erlautert. Es zeigen 

Fig. 1 einen Mikrorechner und 

Fig. 2 einen Programmablauf des Uberpriifungspro- 
gramms. 
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Das erfindungsgemaBe Verfahren zum Schutz eines Mi- 
krorechners bzw. der erfindungsgemaBe geschutzte Mikro- 
rechner haben demgegeniiber den Vorteil, daB eine unbe- 
rechtigte Veranderung des Speicherinhalts des wiederbe- 
schreibbaren Speichers zuverlassig erkannt werden kann. Es 
bietet daher einen guten Schutz gegen unberechtigte Mani- 
pulationen des Speicherinhalts. 

Durch die in den abhangigen Anspriichen aufgefuhrten 40 
MaBnahmen sind vorteilhafte Weiterbildungen und Verbes- 
serungen des Verfahrens bzw. des Mikrorechners nach den 
unabhangigen Paten tanspriichen moglich. Durch die Aus- 
fiihrung des Uberpriifungsprogramms bei jedem Start des 
Mikrorechners wird gewahrleistet, daB immer ein korrektes 45 
Programm im wiederbeschreibbaren Speicher gespeichert 
ist. Als Ergebnis des Uberprufungsprogramms kann bei ei- 
ner gefundenen Abweichung der Rechner dann gesperrt 
werden. Dabei konnen auch unterschiedliche Schliissel fiir 
unterschiedliche Bereiche des wiederbeschreibbaren Spei- 
chers vorgesehen werden, so daB einzelne Bereiche zur Ver- 
anderung durch den Anwender freigegeben sind und andere 
Bereiche gesperrt sind. Hiennit wird ermoglicht, ein verbes- 
sertes Programm oder optimierte Datenwerte im Feld, d. h. 
von Servicediensten nachprograrnmieren zu iassen ohne 
aber hierdurch die Moglichkeit zu geben, daB TYtningfach- 
leute, welche diese Programme erhalten, hieraus modifi- 
zierte Programme oder Da ten erzeugen und abspeichern 
konnen mit anschlieBender Funktion der Elektromk. 
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In der Fig. 1 wird ein Rechner 1 gezeigt, der einen Rech- 
nerkern (CPU) und mehrere Speicher 1, 4, 5 aufweist. Bei 
dem Speicher 3 handelt es sich um einen nur-Lesespeicher 
(ROM), beim Speicher 4 um einen Schreib-/Lesespeicher 
(RAM) und beim Speicher 5 um einen wiederbeschreibba- 
ren Speicher (EPROM, FLASH-EPROM). In den Speichern 
sind Programmbefehle oder Daten gespeichert die durch den 
Rechnerkern 2 verarbeitet werden. Dabei sind je nach Art 
des Speichers unterschiedliche Daten oder Programme ab- 
gelegt. Der nur-Lesespeicher 3 enthalt ein festgespeichertes 
Programm welches nur durch Hersteliung eines neuen Spei- 
cherbausteins geandcrt werden kann. In diesem Speicher 
wird daher in der Regel ein Minimalprogramm abgelegt, 
welches die CPU 2 in die Lage versetzt Befehle zu verarbei- 
ten, die in anderen.,Speichermedien insbesondere dem wie- 
derbeschreibbaren Speicher 5 gespeichert sind. Der Schreib- 
/Lesespeicher 4 ist nur wahrend des laufenden Betriebs des 
Mikrorechners 1 in der Lage Daten zu speichern und dient 
daher nur zur Ablage von Daten oder von Programmbefeh- 
len wahrend des laufenden Betriebs des Rechners. Auf die 
Speicherinhalte des Schreib-ZLesespeichers 4 kann beson- 
ders schnell zugegrifTen werden, so daB teilweise auch Pro- 
gramme von anderen Speichermedien, beispielsweise aus 
dem nur Lesespeicher 3 oder dem wiederbeschreibbaren 
Speicher 5 in den Schreib-ZLesespeicher 4 ubertragen wer- 
den, um von dort aus ausgefuhrt zu werden. Der wiederbe- 
schreibbare Speicher 5, der hier als EPROM oder FLASH- 
EPROM ausgefuhrt ist, enthalt Programmabschnitte oder 
Daten, die im gewissen Rahmen veranderbar sein sollen. 
Dadurch wird es moglich den Mikrorechner 1 an unter- 
schiedliche Aufgaben anzupassen. Dies ist besonders vor- 
teilhaft, wenn der Mikrorechner 1 als Steuergerat fur ein 
Kraftfahrzeug angewendet wird. Im nur-Lesespeicher 3 
werden dann neben dem Minimalprogramm Steuerpro- 
gramme fiir den Motor abgelegt. Im wiederbeschreibbaren 
Speicher 5 werden dann Daten, beispielsweise Motorpara- 
meter abgelegt, auf die das Steuerprogramm zugreift. Wei- 
terhin konnen zusatzlich Programmodule im wiederbe- 
schreibbaren Speicher 5 abgelegt werden, die z. B. nicht bei 
jedem Steuergerat verwirklicht werden sollen. Es ist so 
moglich, ein Steuergerat fur unterschiedliche Anwendungen 
zu verwenden. Die Steuerfunktionen, die fiir alle Anwen- 
dungen gleich sind, werden im nur-Lesespeicher 3 abgelegt, 
wahrend die Programme oder Daten die sich bei den einzel- 
nen Anwendungen unterscheiden, im wiederbeschreibbaren 
Speicher 5 abgelegt werden. Problematisch ist dabei jedoch, 
daB diese erhohte Flexibility mit dem Risiko erkauft wird, 
daB Unbefiigte den Speicherinhalt des wiederbeschreibba- 
ren Speichers 5 verandem. In der Anwendung bei Kraftfahr- 
zeugen konnte so beispielsweise die Leistung des Motors 
durch einen Austausch von Daten im wiederbeschreibbaren 
Speicher 5 erhoht werden. Um eine derartige unerwiinschte 
Manipulation am Speicherinhalt des wiederbeschreibbaren 
Speichers 5 zu verhindern, wird im nur-Lesespeicher 3 ein 
Uberprufungsprogramm vorgesehen, welches in der Lage 
ist den Inhalt des Speichers 5 auf derartige unzulassigen An- 
derungen zu untersuchen. 

In der Fig. 2 werden Programmschritte dieses Uberpru- 
fungsprogramms dargestellt. Vor dem ersten Programm- 
block 10 des Uberprufungsprograrnms erfolgen die notwen- 
digen MaBnahmen, um die CPU 2 zur Bearbeitung von Pro- 
grammen vorzubereiten. Dabei werden interne Register der 
CPU 2 auf Ausgangswerte gesetzt, und die CPU wird so in 
die Lage versetzt, Ein- und Ausgabeoperationen, die zur Be- 
arbeitung von Befehle notwendig sind, vorzunehmen. Nach 
der Ausfuhrung eines solchen Minimalprogramms bzw. ei- 
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ner derartigen Bootroutine werden dann in einem ersten 
Programmblock des (jbeiprUfungsprogramms aus den im 
wiederbeschreibbaren Speicher 5 enthaltenen Daten ein Co- 
dewort ermittelt. Ein einf aches Beispiel fur ein derartiges 
Codewort besteht in einer Checksumme. Es sollten jedoch 5 
aufwendigere mathematische Verschliisselungsverfahren 
angewendet werden, die ohne genaue Kennlnis des Ver- 
schlusselungsalgorithmus einem Unbefugten nicht erlau- 
ben, aus dem Inhalt des wiederbeschreibbaren Speichers 5 
das Codewort zu ermitteln. In einem weiteren Programm- 10 
block 11 erfolgt dann ein Vergleich des so ermittelten Code- 
worts mit einem Vergleichscodewort, das im wiederbe- 
schreibbaren Speicher 5 gespeichert ist Wenn das Codewort 
und das Vergleichswort miteinander iibereinstimmen wird 
das weitere Programm, hier durch den Programmblock 12 15 
dargestellt, fortgesetzt. Wenn das Codewort und das Ver- 
gleichswort nicht iibereinstimmen, wird das Steuergerat 1 
fur den weiteren Betrieb gesperrt. 

Ein berechtigter Benutzer, der den Inhalt des wiederbe- 
schreibbaren Speichers 5 andern will wird somit mit dem 20 
nur ihm bekannten Verschliisselungsalgorithmus aus dem 
im Speicher 5 abzulegenden Programm ein Vergleichscode- 
wort ermitteln und diese dann mit dem Speicher 5 ablegen. 
Bei der Durchfuhrung des Oberprufungsprogramms wird 
dann der Mikrorechner 1 ordnungsgemaB arbeiten. Eine un- 25 
berechtigte Anderung des Speicherinhalts des wiederbe- 
schreibbaren Speichers 5 scheitert daran, daB der Verschliis- 
selungsalgorithmus nicht bekannt ist, so daB es dann nicht 
moglich ist, im wiederbeschreibbaren Speicher S ein kor- 
rektes Vergleichscodewort abzulegen. Durch das Uberprii- 30 
fungsprogramm wird dann der Mikrorechner 1 fur die Bear- 
beitung weiterer Aufgaben gesperrt. Unerwiinschte Manipu- 
lationen am Speicherinhalt des wiederbeschreibbaren Spei- 
chers 5 sind somit zuverlassig unterdriickt. 

Das Uberprufungsprogramm kann auch so ausgelegt wer- 35 
den, daB nur einzelne Bereiche des Speichers 5 uberpruft 
werden. Weiterhin ist es moglich, das Uberpriifungspro- 
gramm so auszulegen, daB fur unterschiedliche Bereiche des 
wiederbeschreibbaren Speichers 5 unterschiedliche Ver- 
schlusselungsalgorithmen angewandt werden und fur jeden 40 
dieser Bereiche ein eigenes Codewort abgelegt wird. Es 
konnen so einzelne Bereiche des wiederbeschreibbaren 
Speichers 5 wahlweise fur cine Neuprogrammierung ge- 
sperrt werden oder wahlweise freigegeben werden. 

Weiterhin ist es auch moglich statt einer kompletten Sper- 45 
rung des Mikrorechners 1 bei einer Abweichung von Code- 
wort und Vergleichscodewort eine nur teilweise Sperrung 
vorzusehen. Wenn beispielsweise der Mikrorechner 1 als 
Motorsteuergerat verwendet wird, kann vorgesehen werden, 
daB bei einer unberechtigten Manipulation des Kennfeldes 50 
fiir den Ziindwinkel statt einer Sperrung der Funktion ein 
Ziindwinkel herangezogen wird, der noch einen leistungs- 
verminderten Betrieb des Motors erlaubt und gleichzeitig 
eine Aufforderung auslbst, das Fahrzeug bei einer Werkstatt 
reparieren zu lassen. Es kann so sichergestellt werden, daB 55 
auch bei einer zufalligen Veranderung des Inhalts des Spei- 
chers 5 noch eine gewisse Minimalfunktion des Mikrorech- 
ners ausgeiibt wird. 

Weiterhin ist es moglich das (jberpriifungsprogramm zu- 
nachst in einem inaktiven Zustand zu lassen und so zunachst 60 
noch Veranderungen des Speicherinhalts des wiederbe- 
schreibbaren Speichers zuzulassen. Dies ist insbesondere 
fiir eine Entwicklungsphase, bei der noch haufig Modifika- 
tionen des im wiederbeschreibbaren Speichers gespeicher- 
tcn Programm crforderlich sind von Vorteil. Nach dem Ende 65 
der Entwicklung wird dann durch die Aktivierung des Uber- 
priifungsprogramms sichergestellt, daB weitere Manipula- 
tionen nur mit Kennlnis des Schlussels moglich sind. 
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Patentanspriiche 

1. Verfahren zum Schutz eines Mikrorechners (1) ge- 
gen Manipulation seines Program ms, wobei der Mikro- 
rechner einen nur-Lesespeicher (3) und einen wieder- 
beschreibbaren Speicher (5) aufweist, wobei minde- 
stens ein Teil des Programms in dem wiederbeschreib- 
baren Speicher (5) gespeichert wird, dadurch gekenn- 
zeichnet, daB ein im nur Lesespeicher (3) enthaltenes 
Uberprufungsprogramm (10, U) ausgefiihrt wird, bei 
dem rnit einem Schliissel aus zu rnindestens einem Teil 
des im wiederbeschreibbaren Speichers (5) enthaltenen 
Speicherinhalts ein Codewort ermittelt und mit einem 
im wiederbeschreibbaren Speicher (5) abgelegten Ver- 
gleichscodewort verglichen wird. 

2. Verfahren nach Anspruch 1, dadurch gekennzeich- 
net, daB das Uberpriifungsprograrnm (10, 11) bei jedem 
Start des Mikrorechners (1) ausgefiihrt wird. 

3. Verfahren nach einem der vorhergehenden Ansprii- 
che, dadurch gekennzeichnet, daB bei einer Uberein- 
stimmung des Codewort und des Vergleichscodewort 
der Mikrorechner (1) zur Ausfuhrung weiterer Pro- 
gramme freigegeben und bei einer Nichtiibereinstim- 
mung von Codewort und Vergleichscodewort der Mi- 
krorechner (1) zumindest teilweise gesperrt wird. 

4. Verfahren nach einem der vorhergehenden Ansprii- 
che, dadurch gekennzeichnet, daB das Uberprufungs- 
programm rnindestens zwei Schliissel aufweist und daB 
jeder Schliissel zur Bildung eines Codeworts eines ihm 
zugeordneten Bereich des wiederbeschreibbaren Spei- 
chers (5) zugeordnet ist. 

5. Geschutzter Mikrorechner (1) mit einem nur Lese- 
speicher (3) und einem wiederbeschreibbaren Speicher 
(5) wobei im wiederbeschreibbaren Speicher (5) ein 
Programm gespeichert ist, dadurch gekennzeichnet, 
daB im nur Lesespeicher (3) ein Uberprufungspro- 
gramm (10, 11) gespeichert ist, daB das Uberpriifungs- 
prograrnm (10, 11) in Abhangigkeit vom Inhalt des 
wiederbeschreibbaren Speichers (5) ein Codewort bil- 
det und dieses Codewort mit einem im wiederbe- 
schreibbaren Speicher (5) abgelegten Vergleichscode- 
wort vergleicht. 

6. Mikrorechner nach Anspruch 5, dadurch gekenn- 
zeichnet, daB der Mikrorechner bei jedem Start eine 
Bootroutine ausfuhrt und daB das Uberprufungspro- 
gramm Teil dieser Bootroutine ist. 

7. Mikrorechner nach Anspruch 5 oder 6, dadurch ge- 
kennzeichnet, daB bei einer Nichtiibereinstirnmung von 
Codewort und Vergleichscodewort die Abarbeitung 
weiterer Befehle durch einen Rechnerkern (2) gesperrt 
wird. 

8. Mikrorechner nach Anspruch 5 bis 7, dadurch ge- 
kennzeichnet, daB mehrere Schliissel vorgesehen sind, 
die jeweils einem Bereich des wiederbeschreibbaren 
Speichers (5) zugeordnet sind, und daB mehrere Ver- 
gleichscodeworter im wiederbeschreibbaren Speicher 
(5) vorgesehen sind, die jeweils einem der Speicherbe- 
reiche zugeordnet sind. 

9. Mikrorechner nach Anspruch 5 bis 8, dadurch ge- 
kennzeichnet, daB der wiederbeschreibbare Schreiber 
(5) als Flash-Speicher ausgebildet ist. 

10. Mikrorechner nach Anspruch 5 bis 8, dadurch ge- 
kennzeichnet, daB der nur Lesespeicher (3) ein speziel- 
ler Bereich im Flash-Speicher ist. 
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